更新时间:2024-10-28 GMT+08:00

创建合规规则包

操作场景

合规规则包是配置审计服务根据合规场景定制的一组合规规则的集合。您可以使用配置审计服务的示例模板,或根据自身需求配置的自定义模板来创建合规规则包。

合规规则包创建完成后,这些规则默认会执行一次评估,后续将根据规则的触发机制自动触发评估,也可以在资源合规规则列表中手动触发单个合规规则的评估。

约束与限制

  • 每个账号最多可以创建50个合规规则包(包括组织合规规则包),最多可以创建500个合规规则。
  • 创建或修改合规规则包需要开启资源记录器,资源记录器处于关闭状态时,合规规则包仅支持查看和删除操作。具体请参见配置资源记录器

操作步骤

  1. 登录管理控制台。
  2. 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。
  3. 单击页面左侧的“合规规则包”,进入“合规规则包”页面。
  4. 单击“创建合规规则包”。

    图1 创建合规规则包

  5. 在“选择模板”页面中,选择示例模板、上传本地模板文件或输入OBS模板URL后,单击“下一步”。

    • 示例模板:使用配置审计服务提供的合规规则包示例模板,在下拉列表中选择一个示例模板。

      关于每个示例模板包含的具体合规规则请参见:合规规则包示例模板

    • 本地模板:从本地上传模板文件,您可以根据自身的需求编写合规规则包的模板文件,然后上传并使用。

      模板文件格式和文件内容格式均为JSON,不支持tf格式和zip格式的文件内容,该文件的后缀需为.tf.json,具体请参见:自定义合规规则包

    • OBS存储桶:自定义合规规则包模板存储在OBS桶的位置。如果您的本地模板文件大小超过50KB,请将它上传至OBS存储桶,然后输入OBS模板URL来选择并使用它。

      OBS模板URL指的是OBS桶内对象的URL。您将本地模板上传至OBS桶后,在桶内的对象列表中单击操作列的“更多 > 复制对象URL”,即可获取OBS模板URL。

    图2 选择模板

  6. 进入“详细信息”页面,合规规则包的详细参数配置完成后,单击“下一步”。

    图3 详细信息
    表1 详细信息配置说明

    参数

    说明

    合规规则包名称

    合规规则包的名称。自定义,不可与其他合规规则包名称重复。

    合规规则包名称的长度最大64字符,由英文字母、数字、下划线、中划线组成。

    (可选)授权

    此处的授权为委托授权,当您不选择自定义授权时,Config将通过服务关联委托的方式自动获取RFS的相关权限。如您需要自行控制委托权限的范围,可选择进行自定义授权,提前在统一身份认证服务(IAM)中创建委托,并进行自定义授权,但必须包含可以让合规规则包正常工作的权限(授权资源编排服务创建、更新和删除合规规则的权限),然后在下拉框中选择委托。创建委托详见创建委托(委托方操作)

    合规规则包参数

    合规规则包的参数配置与相对应的合规规则参数一致,具体请参见系统内置预设策略

  7. 进入“确认配置”页面,确认合规规则包信息无误后,单击“确定”,完成合规规则包的创建。

    图4 确认配置

    合规规则包创建或更新后会立即自动触发首次评估。